Ревізія систем відеоспостереження: оновлення ПЗ Dahua до актуальних стандартів

Камера відеоспостереження або відеореєстратор у сучасній комерційній мережі — це повноцінний хост. Для системного інтегратора це означає, що вимоги до кібербезпеки IoT-обладнання стали такими ж жорсткими, як і до корпоративних серверів чи маршрутизаторів.

Останні галузеві аудити безпеки фіксують чітку межу: будь-яке обладнання Dahua (IPC-камери, домофони VTO/VTH, реєстратори NVR/XVR та СКУД), що працює на базових версіях прошивок зі складанням до 2023 року, містить застарілі архітектурні компоненти автентифікації. Залишати такі пристрої онлайн, особливо з прямим доступом з інтернету, — це прямий ризик компрометації всієї локальної мережі замовника.

Ситуація вимагає від обслуговуючих компаній та інтеграторів проактивних дій: перевірки парку встановленого обладнання та проведення масового оновлення.

Суть проблеми та ризики для інфраструктури

Проблема застарілих прошивок лежить у площині обробки мережевих запитів. Пристрої, випущені або не оновлені до 2023 року, використовують логіку доступу, яка більше не відповідає актуальним стандартам безпеки.

На практиці компрометація пристрою проявляється чіткими й помітними симптомами, які Dahua офіційно зафіксувала у своєму свіжому технічному бюлетені. Інтеграторам та клієнтам варто звернути увагу на такі аномалії:

• Спотворення OSD (накладання тексту): На живому відео з камер з'являються сторонні написи, мітки або водяні знаки. Найчастіші маркери автоматизованого зламу — фрази на кшталт «CamScanner», «automatically by Bot» або «PROPERTY OF...».
• Приховані облікові записи: У системі з'являються невідомі користувачі, яких адміністратор не створював (за замовчуванням має бути лише admin).

Якщо такий пристрій виставлений в інтернет (має публічну IP-адресу, відкриті порти 80, 443, 554 (RTSP), або прокинутий порт 37777 для віддаленого доступу), він автоматично стає мішенню для сканування. 

У разі отримання несанкціонованого доступу, зловмисник може використовувати пристрій як плацдарм для переходу на інші сегменти корпоративної мережі (lateral movement), перехоплення відеопотоків через RTSP або втручання в конфігурацію системи.

Технічний алгоритм: що потрібно зробити на об'єктах

Для забезпечення стабільної та безпечної роботи систем відеоспостереження, необхідно провести аудит об'єктів за наступним сценарієм:

• Інвентаризація та перевірка версій (Build Date). Увійдіть у веб-інтерфейс пристрою (Settings → System Information → Version). Головний маркер — дата складання прошивки. Усе, що датоване 2022 роком і раніше, потребує обов'язкового втручання.
• Базова мережева гігієна. Негайно приберіть пряму експозицію пристроїв в інтернет. Видаліть port forwarding на роутерах для портів 80, 443, 554, 37777 та обов'язково вимкніть протокол UPnP як на мережевому обладнанні, так і на самих камерах/реєстраторах.
• Оновлення прошивки. Завантажте актуальні версії прошивок (релізу 2023 року або новіші) з офіційних ресурсів. Увага: для дуже старого обладнання оновлення має бути поетапним (через проміжні baseline-версії), щоб уникнути виходу пристрою з ладу. Після прошивки обов'язково видаліть старі сервісні акаунти (наприклад, 888888 або default) та змініть стандартні паролі.
• Сегментація мережі. На корпоративних об'єктах системи безпеки мають працювати у виділеному VLAN без маршрутизації до основних ресурсів компанії. Віддалений доступ для критичних об'єктів повинен реалізовуватися виключно через VPN-тунелі.
• Для менших об'єктів (ритейл, ОСББ) без виділених IP-адрес безпечним стандартом є використання фірмового хмарного протоколу P2P (застосунки DMSS / SmartPSS). 

Проводячи ревізію, інженерам недостатньо просто змінити пароль адміністратора. Виробник наголошує на необхідності глибшого очищення «хвостів»:

• Ревізія ONVIF-користувачів: Обов’язково потрібно перевіряти не лише вкладку «Account», але й окрему вкладку «ONVIF Users» у веб-інтерфейсі камери. Зловмисники часто створюють сторонні профілі саме там для збереження постійного доступу до RTSP-потоку.
• Глибоке скидання (Hard Reset): Якщо в системі виявлено підозрілі акаунти, які не видаляються через звичайне меню, камеру необхідно скинути до заводських налаштувань апаратною кнопкою або через повне очищення конфігурації. Лише після цього можна накочувати свіжу прошивку.
• Очищення OSD: Після відновлення прошивки потрібно примусово скинути налаштування відображення тексту (Camera -> Video -> Overlay) до стану «Default», щоб повністю прибрати залишки хакерських водяних знаків.

Що робити з EOL-обладнанням (End of Life)

На об'єктах часто функціонує обладнання попередніх поколінь, для якого виробник вже припинив випуск програмних оновлень, і прошивок після 2023 року для них фізично не існує.

Залишати такі пристрої у поточній конфігурації небезпечно. Проте ми розуміємо, що одночасна повна заміна системи не завжди відповідає бюджету замовника.

Якщо на вашому об'єкті є пристрої без актуальних оновлень — зверніться до спеціалістів VIATEC. Ми уважно вивчимо ваше обладнання й запропонуємо рішення саме під вас: від порад, як відокремити такі пристрої в мережі за допомогою професійних роутерів, до покрокового плану оновлення техніки на вигідних партнерських умовах. 

Більше ніж технічна послуга 

Для системного інтегратора такий аудит — це не нудна технічна робота, а шанс показати замовнику свій професіоналізм. Коли ви самі пропонуєте клієнту перевірити безпеку, закрити вразливі порти й оновити програми, ви перестаєте бути просто «монтажником» і стаєте партнером, якому довіряють питання безпеки. 

Так формується довіра, рідше трапляються термінові безкоштовні виїзди на об'єкт, а клієнти самі починають замовляти планове оновлення систем.

Офіційна позиція вендора: Це не теоретичні припущення дослідників кібербезпеки — загроза офіційно визнана виробником. Dahua випустила спеціальне керівництво, де прямо підтверджує масові спроби несанкціонованого зовнішнього доступу до застарілих лінійок обладнання. Виробник наполегливо вимагає негайно прибрати камери з прямої видимості в інтернеті, ізолювати їх у межах LAN/VLAN або налаштувати суворі політики доступу лише для довірених IP-адрес. 

Кому варто звернути увагу насамперед

Ризик зростає там, де камери інтегровані у складну або спільну мережеву інфраструктуру. Зокрема:

• Мережі з багатьма точками (ритейл, філійні структури, АЗС): тут відеопотоки часто зводяться в один центр моніторингу через інтернет-канали.
• Офісні будівлі та дата-центри: злам однієї камери може стати точкою входу до серверів і конфіденційних даних компанії.
• Склади й логістичні хаби: відеоспостереження тут не додаткова опція, а основний інструмент контролю процесів.
• Багатоквартирні будинки та ОСББ: масове використання IP-домофонів (VTO/VTH) у спільних мережах створює окремий пласт ризиків.

Завчасне закриття вразливостей — обов'язкова умова надійного захисту інфраструктури клієнта. Спеціалісти VIATEC нададуть актуальні версії прошивок та розроблять план поетапного оновлення застарілих систем на вигідних партнерських умовах. Безпека вашого клієнта починається з вашого рішення.